Cụ thể, nghiên cứu của Proofpoint cho biết, nhóm tin tặc điều hành mạng botnet Emotet đang thử nghiệm các kỹ thuật tấn công mới và khác biệt đáng kể để chuẩn bị cho các chiến dịch tấn công có chọn lọc và quy mô hạn chế hơn.
Sau 10 tháng gián đoạn, nó đã hoạt động trở lại mạnh mẽ hơn từ tháng 11/2021 và nhắm mục tiêu đến hàng nghìn người dùng với hàng chục nghìn tin nhắn ở các quốc gia khác nhau, với hơn một triệu tin nhắn được gửi đi trong mỗi chiến dịch trong một số trường hợp nhất định.
Tuy nhiên, một loạt các hoạt động được phát hiện trong khoảng thời gian từ ngày 4/4 đến ngày 19/4/2022, cho thấy một sự khác biệt đáng kể so với các hành vi tấn công điển hình của Emotet và được cho là do nhóm tội phạm mạng TA542 (hay còn gọi là Mummy Spider hoặc Gold Crestwood) thực hiện. Hoạt động được diễn ra khi các chiến dịch phát tán Emotet quy mô lớn khác bị tạm dừng.
Theo Proofpoint, chiến dịch email với quy mô nhỏ này liên quan đến việc sử dụng các nội dung phát tán theo chủ đề tiền lương và các email được nhắm mục tiêu chỉ chứa URL OneDrive chứ không hề có nội dung nào khác. Các URL OneDrive lưu trữ các tệp nén ZIP có chứa các tệp Microsoft Excel Add-in (XLL), khi được thực thi, mã độc phân phối Emotet sẽ bắt đầu hoạt động.
Phương thức lây lan sử dụng macro trong các tệp Microsoft Word và Exel đã không còn được sử dụng, điều này cho thấy, tin tặc đang tích cực thay đổi và phát triển các cách thức tấn công mới để đối phó với kế hoạch chặn macro VBA của Microsoft theo mặc định bắt đầu từ tháng 4/2022.
Chia sẻ về những phát hiện này, Sherrod DeGrippo, Phó Chủ tịch Nghiên cứu và Phát hiện mối đe dọa tại Proofpoint, cho biết, "Sau nhiều tháng hoạt động ổn định, Emotet đang chuyển đổi mọi thứ. Có khả năng tin tặc đang thử nghiệm các kỹ thuật mới ở quy mô nhỏ trước khi phân phối chúng đến nạn nhân trên phạm vi rộng hơn hoặc phân phối thông qua các TTP mới cùng với các chiến dịch quy mô lớn".
"Các tổ chức nên biết các kỹ thuật mới và cần thực hiện triển khai các biện pháp phòng thủ cho phù hợp", Sherrod DeGrippo nhấn mạnh./.
